信息安全内控度量体系实施服务工作陈述.pdfVIP

信息安全内控度量体系实施 服务工作陈述 SoW for Information Security Internal Control Metrics System Implementation Service Version 1.1 上海安言信息技术有限公司 2009 年 7 月 V1.0 © 2009 Aryasec Ltd. All rights reserved. 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属 上海安言信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经上海安言信息技术有 限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 版本信息 文档名称 信息安全内控度量体系建设服务工作陈述 文档管理编号 保密级别 商密 文档版本号 1.2 编写人 审核人 适用范围 本文档为上海安言信息技术有限公司 （以下简称安言咨询）编写的信息安全内控度量 体系实施的咨询服务工作陈述，适用于信息安全度量项目的前期规划。 保密说明 本文件中所包含的资料对于上海安言信息技术有限公司来说是保密的。上海安言信息技 术有限公司将此文件提交给客户是基于以下的理解： 接受本文件即表示同意对其内容严格保密，不去泄漏； 在事先未经上海安言信息技术有限公司同意时，不得复制、泄露或散布本文件，文 件的全部或其中的任何部分均不会被用于任何用途。 这些限制仅出于商务考虑，对于在客户和上海安言信息技术有限公司之间正在进行的业 务讨论不构成任何限制。 本文件仅提交给客户参阅，有关内容如泄露给外来者会带来严重的安全隐患。相关客户 应慎重考虑并限制本文件内容在企业内部的流传，特别注意不应该把内容泄露给合作伙伴或 其他供货商。 目 录 版本信息 2 适用范围 2 保密说明 2 1. 信息安全内控度量的定义 4 1.1 什么是度量4 1.2 什么是信息安全内控度量4 2. 信息安全内控度量体系建设意义 4 2.1 度量的优势4 2.2 度量的必要性5 2.3 度量和审计的差异与关联5 3. 实施方法论和依据 5 3.1 信息安全内控度量体系理论支持5 3.2 内控度量的ＰＤＣＡ6 3.3 安言的PROC 方法论6 3.4 信息安全内控度量体系设计依据8 4. 信息安全度量项目的交付物 8 4.1 规划设计9 4.2 总体框架9 4.3 操作手册9 4.4 工具模板类10 4.5 培训10 5. 信息安全内控度量体系建设前提和后续考虑 11 5.1 信息安全内控度量实施前提11 5.3 信息安全内控度量实施后续11 6. 安言咨询简介 12 6.1 公司概况12 6.2 人员资质12 6.3 项目实施优势13 6.3.1 专业化的团队，国际化的视野13 6.3.2 顾问式培训贯穿项目实施全程13 6.3.3 丰富的项